de.wedoany.com-Bericht: Check Point hat offengelegt, dass die als CVE-2026-50751 bekannte Authentifizierungsumgehungsschwachstelle von Akteuren der Qilin-Ransomware ausgenutzt wird. Die Schwachstelle betrifft die Remote-Access- und Mobile-Access-Funktionen von Check Point VPN. Wenn das System für die Verwendung des veralteten IKEv1-Schlüsselaustauschprotokolls konfiguriert ist, können entfernte, nicht authentifizierte Angreifer die Benutzerauthentifizierung umgehen und eine VPN-Verbindung ohne gültiges Passwort herstellen. Die Schwachstelle betrifft auch die KI-gesteuerten Spark-Firewalls von Check Point, die sich an kleine und mittlere Unternehmen sowie Managed Service Provider richten.

Check Point bemerkte die verdächtigen Aktivitäten erstmals am 4. Juni 2026, der erste bekannte Angriff lässt sich jedoch auf Anfang Mai 2026 zurückdatieren. Bislang wurden weltweit mehrere Dutzend Zielorganisationen ausgenutzt, wobei in einem Fall Post-Intrusion-Aktivitäten im Zusammenhang mit Akteuren der Qilin-Ransomware bestätigt wurden. Der Angriff scheint wirtschaftlich motiviert zu sein; die Angreifer kommunizieren über das Tox-Protokoll und stehlen Daten über die Open-Source-Software Rclone (bestätigt anhand eines der geteilten Datei-Hashes). Die Angreifer nutzen dedizierte virtuelle private Server (VPS)Infrastruktur, deren IP-Adressen von Kaupo Cloud HK, Shock Hosting und Vultr Holdings gehostet werden. In einigen Fällen besteht ein Zusammenhang zwischen dem geografischen Standort der betroffenen Organisation und dem Standort des verwendeten VPS. Es wird angenommen, dass der Akteur auch andere VPN-bezogene Schwachstellen ausnutzt, darunter solche, die von Palo Alto, Fortinet und F5 veröffentlicht wurden. Check Point beobachtete, dass die Ausnutzungsversuche von CVE-2026-50751 Anfang Juni zunahmen.

Check Point hat Indikatoren für eine Kompromittierung veröffentlicht und empfiehlt Incident-Response-Teams, ab dem frühesten Nutzungsdatum (7. Mai 2026) eine forensische Log-Prüfung und Konfigurationsüberprüfung durchzuführen. Zu den Abhilfemaßnahmen gehören: Sicherstellen, dass die Bereitstellung nicht für die Verwendung des veralteten IKEv1-Protokolls konfiguriert ist, Entfernen der Unterstützung für Verbindungen von Legacy-Remote-Access-Clients und Anfordern eines Maschinenzertifikats vom Gateway zur Herstellung der Verbindung.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.

E-Mail: news@wedoany.com